新しい「協調的」なサプライチェーン攻撃キャンペーンが、**Packagist**上の8つのパッケージに影響を与え、GitHub ReleasesのURLからLinuxバイナリを実行するように設計された悪意のあるコードが注入されました。 「影響を受けたパッケージはすべてComposerパッケージでしたが、悪意のあるコードはcomposer.jsonに追加されたわけではありません」と**Socket**は述べています。「代わりに、PHPコードと共にJavaScriptビルドツールを配布するプロジェクトを標的としたpackage.jsonに挿入されました。」  ### クロスエコシステムを標的とする この「クロスエコシステム配置」は、PHP依存関係をスキャンする開発者やセキュリティチームが、パッケージに含まれる`package.json`のライフサイクルフックをスキップして、Composer関連のメタデータのみに焦点を当てる可能性があるため、この活動を際立たせています。悪意のあるバージョンはその後Packagistから削除されました。 パッケージの分析により、それらのアップストリームリポジトリが、GitHub ReleasesのURL（`github[.]com/parikhpreyash4/systemd-network-helper-aa5c751f`）からLinuxバイナリをダウンロードし、`/tmp/.sshd`フォルダに保存し、`chmod`を使用してすべてのユーザーに実行権限を付与するようにパーミッションを変更し、バックグラウンドで実行しようとする`postinstall`スクリプトを含むように変更されていることが明らかになりました。 ### 影響を受けたパッケージ パッケージ名と関連する影響を受けたバージョンを以下に示します。 * moritz-sauer-13/silverstripe-cms-theme (dev-master) * crosiersource/crosierlib-base (dev-master) * devdojo/wave (dev-main) * devdojo/genesis (dev-main) * katanaui/katana (dev-main) * elitedevsquad/sidecar-laravel (3.x-dev) * r2luna/brain (dev-main) * baskarcm/tzi-chat-ui (dev-main)  ### より広範なキャンペーンか？ **Socket**の調査では、**GitHub**上の777ファイルにわたる同じペイロードへの参照が見つかっており、より広範なキャンペーンの一部である可能性が示唆されています。少なくとも2つのインスタンスでは、GitHubワークフローに追加されていました。しかし、これらのうちいくつが個別の侵害、フォーク、重複したパッケージ成果物、またはキャッシュされた参照に一致するかは現在不明です。 * [インスタンス1](https://github.com/448776129/UA2F/blob/master/.github/workflows/ci.yml) * [インスタンス2](https://github.com/448776129/blog-1/blob/9ebac2e4118396b84e508585f356bf06971c4fb5/.github/workflows/deploy_coding.yml) 「これは、攻撃者が単一の実行メカニズムに依存していなかったことを示唆しています。パッケージ成果物では、ペイロードは`package.json`の`postinstall`スクリプトを通じてトリガーされました」とアプリケーションセキュリティ企業は述べています。「ワークフローファイルでは、GitHub Actionsジョブ中に実行されるように配置されていました。」 ### ペイロード分析 さらに、GitHubからダウンロードされたペイロードの正確な性質は不明です。それをホストするリポジトリに関連付けられたGitHubアカウントは、もはや利用できません。マルウェアの「gvfsd-network」という名前の選択は興味深いものです。これは、ネットワーク共有の管理とブラウジングを担当する**GNOME**仮想ファイルシステム（**GVfs**）デーモンを参照しているためです。 「セカンドステージバイナリがなくても、悪意のあるインストーラーはブロックするのに十分です」と**Socket**は述べています。「インストールまたはビルドワークフロー中にリモートコード実行を提供し、TLS検証を無効にし、エラーを抑制し、ダウンロードされたバイナリをバックグラウンドで実行することでアクティビティを隠蔽しようとします。」